CEVIU News - CEVIU Segurança da Informação - 24 de fevereiro de 2026

Um servidor mal configurado revelou um toolkit de intrusão completo onde um ator de ameaças integrou LLMs diretamente ao workflow de ataque, utilizando DeepSeek para gerar planos de ataque a partir de dados de reconhecimento e Claude Code para conduzir avaliações de vulnerabilidade em tempo real. Este ataque mirou appliances FortiGate em 106 países, com 2.516 alvos identificados. Ferramentas personalizadas como ARXON, um servidor MCP que faz a ponte entre a análise de LLMs e scripts de ataque, e CHECKER2, um orquestrador Docker baseado em Go, automatizaram todo o pipeline: desde a ingestão de configurações de VPN roubadas e o escaneamento interno até o planejamento de exploração guiado por LLMs. Este sistema evoluiu do framework open-source HexStrike em aproximadamente oito semanas. Defensores devem auditar contas de VPN não autorizadas, acessos SSH inesperados e mudanças não aprovadas nas políticas de firewall, pois a abordagem de modelo duplo, selecionando o LLM mais permissivo para cada tarefa, reduz a barreira de habilidades para gerenciar intrusões simultâneas em escala.

O aplicativo de Clima pré-instalado da Samsung cria silenciosamente uma impressão digital altamente única, combinando os IDs de localização (placeid) salvos que envia à API da The Weather Company. Um estudo revelou que 96,4% dos dispositivos amostrados são unicamente identificáveis ao longo dos dias. Essas impressões digitais persistem com o tempo, resistem a mudanças de IP e de rede, e podem ser usadas para determinar localizações precisas através de chaves de API codificadas que funcionam de qualquer cliente. As requisições frequentemente incluem tanto os valores de placeid hash quanto coordenadas GPS brutas, proporcionando à The Weather Company (IBM) e à Samsung perfis de localização detalhados, refletindo um padrão industrial de monetização de dados de localização baseados em clima. ️‍️

Atuantes do ransomware Everest acessaram dados da Vikor Scientific (agora Vanta Diagnostics) via o fornecedor de ciclo de receita Catalyst RCM. Eles utilizaram credenciais comprometidas para roubar cerca de 12GB de arquivos contendo nomes, datas de nascimento, dados de cartão de pagamento, detalhes médicos e informações de seguro. Aproximadamente 140.000 indivíduos estão atualmente listados como afetados, mas o impacto final pode ser maior, pois as contagens de todas as entidades vinculadas permanecem incertas.

Três vulnerabilidades críticas não autenticadas, leitura arbitrária de arquivos, exclusão arbitrária de arquivos e SQL injection, foram divulgadas no Novarain/Tassos Framework (v4.10.14–v6.0.37). Este é um plugin de sistema compartilhado, presente em cinco extensões Joomla! amplamente utilizadas, como Convert Forms, EngageBox e Advanced Custom Fields. Encadear essas falhas permite a execução remota de código (RCE) confiável e a tomada de controle de contas de administrador, ao despejar sessões ativas de superadministradores via SQLi e, em seguida, autenticar-se para fazer upload de extensões maliciosas. Administradores devem atualizar as extensões afetadas imediatamente ou desabilitar o plugin plg_system_nrframework e restringir o acesso a endpoints com_ajax por meio de regras de WAF.

A CVE-2025-29969 é uma vulnerabilidade de execução remota de código no protocolo MS-EVEN RPC ️, ativado por padrão no Windows 11 e Windows Server 2025. Ela permite que usuários com poucos privilégios gravem arquivos arbitrários remotamente, explorando uma falha TOCTOU na função de backup do EventLog, contornando efetivamente as limitações padrão do compartilhamento C$. Essa cadeia de ataque combina uma primitiva CreateFile oculta para verificações de existência remota de arquivos/diretórios com uma primitiva de escrita arbitrária. Isso é alcançado pela troca de um arquivo EVTX controlado pelo invasor em um compartilhamento SMB remoto entre a validação de cabeçalho e o backup, o que possibilita a execução de código via scripts em lote da pasta Startup ou sequestro de DLL . Embora a Microsoft tenha corrigido a primitiva de escrita TOCTOU em maio de 2025, as capacidades de reconhecimento que permitem a enumeração remota de arquivos em máquinas ingressadas no domínio permanecem sem correção.

Pesquisadores da Veracode descobriram um pacote NPM com typosquatting chamado "buildrunner-dev" que entrega o Pulsar RAT ao esconder código malicioso em imagens PNG usando esteganografia. ️ Este método permite a extração de payloads dos valores de pixel RGB em tempo de execução. A cadeia de ataque emprega um arquivo batch altamente ofuscado de 1.600 linhas com apenas 21 linhas funcionais, além de ser capaz de detectar e evadir produtos AV como ESET e Malwarebytes. O ataque utiliza ainda a técnica de process hollowing para injetar o payload final em processos legítimos. ️ Ataques à cadeia de suprimentos estão cada vez mais utilizando esteganografia baseada em imagem para contornar ferramentas tradicionais de varredura de arquivos. Desenvolvedores devem, portanto, verificar cuidadosamente os nomes dos pacotes e auditar suas dependências para mitigar riscos.

O PayPal revelou um erro de software em seu aplicativo de empréstimos Working Capital que expôs nomes, detalhes de contato, SSNs e datas de nascimento de 100 clientes corporativos entre julho e meados de dezembro de 2025. A empresa reverteu o código defeituoso, redefiniu senhas e detectou algumas transações não autorizadas.

O Departamento do Tesouro dos EUA anunciou uma iniciativa público-privada, por meio do AI Executive Oversight Group, que divulgará seis recursos ao longo de fevereiro. O objetivo é ajudar instituições financeiras , especialmente as pequenas e médias, a gerenciar riscos de cibersegurança específicos da IA e a implementar a IA de forma mais segura ️.

Pesquisadores da Unit 42 introduziram um novo método de detecção que rastreia atores de ameaça na nuvem ao vincular suas técnicas MITRE ATT&CK conhecidas a padrões de alerta específicos. Esta abordagem conseguiu distinguir com sucesso as operações dos grupos Muddled Libra (Scattered Spider) e Silk Typhoon em 22 setores industriais, entre junho de 2024 e junho de 2025. A análise revelou apenas três assinaturas de alerta compartilhadas de um total de cerca de 120, evidenciando suas táticas distintas. Picos nos alertas por setor correlacionaram-se com campanhas divulgadas publicamente, como um aumento de 25% nos alertas no setor de transporte durante os ataques à aviação do Muddled Libra, permitindo aos defensores identificar ameaças precocemente ao investigar alertas relacionados a atores em um período de 30 dias.

A nova funcionalidade Claude Code Security da Anthropic escaneia bases de código em busca de vulnerabilidades, propõe correções e alega ter identificado centenas de falhas de alta severidade em projetos open source . Isso gerou preocupação entre investidores de segurança e impactou negativamente ações como as da CrowdStrike. A Anthropic se alinha a Google, Microsoft, Amazon e OpenAI no emprego de agentes de IA para detecção de bugs. Entretanto, todas essas abordagens ainda dependem de revisão humana e enfrentam debates sobre falsos positivos, custos e o excesso de marketing.

A polícia espanhola prendeu um jovem de 20 anos em Madri que manipulou o processo de validação do gateway de pagamento de um site de reservas de hotéis para garantir estadias em quartos de luxo por apenas €0,01 por reserva .

O spyware Predator da Intellexa oculta os indicadores de gravação de câmera e microfone do iOS, manipulando o SBSensorActivityDataProvider do SpringBoard e anulando as atualizações de atividade do sensor antes que cheguem à camada da UI ️.